“安全問題”的安全問題

王朝陽　馮琦

摘 要：文章從網(wǎng)站設(shè)計(jì)者的角度分析了申請網(wǎng)絡(luò)賬號時(shí)需要設(shè)定“安全問題”這一保護(hù)措施的初衷，并且深入研究了“安全問題”涉及到的個(gè)人隱私信息。闡述了在互聯(lián)網(wǎng)技術(shù)高速發(fā)展下，網(wǎng)站被動(dòng)泄密造成個(gè)人用戶信息安全受到危害的可能性，進(jìn)而使用戶在金融和身心方面造成二次傷害的可能性。最后針對這一問題，從用戶的角度提出了主動(dòng)防御的安全建議，能夠減少或避免較大的安全隱患。

關(guān)鍵詞：安全問題；信息安全；信息泄漏；安全隱患

引言

在申請QQ賬號、網(wǎng)易郵箱等網(wǎng)絡(luò)賬號的時(shí)候，網(wǎng)站通常建議用戶設(shè)置“安全問題”，以確保忘記密碼的情況下可以通過這些問題來找回自己“信息”。這些“安全問題”在很大程度上的確保證了賬號丟失后的找回，帶來了一定的“安全”，但同時(shí)卻也帶來了更大的安全隱患。

1 “安全問題”初衷與問題內(nèi)容分析

“安全問題”主要是網(wǎng)絡(luò)社交等賬號提供商為確保用戶可以找回可能丟失的賬戶而設(shè)計(jì)的一些與用戶相關(guān)的問題。在實(shí)際應(yīng)用中，騰訊、網(wǎng)易等服務(wù)提供者，通過“安全問題”的保護(hù)措施幫助龐大的用戶群找回了寶貴的信息資料，在這方面起到了重要作用。

通過統(tǒng)計(jì)分析發(fā)現(xiàn)，這些“安全問題”包含的內(nèi)容，往往涉及到用戶的相關(guān)隱私信息。這些安全問題的內(nèi)容包含：用戶父母的姓名、生日，用戶的工號、證件號、手機(jī)號以及用戶朋友姓名等隱私信息，在某些情況下有些網(wǎng)站（如騰訊、小米等，但并不強(qiáng)制）甚至需要提供用戶身份證號等信息。這樣設(shè)計(jì)的主要原因是這些內(nèi)容用戶熟知且不需要額外記憶，相對于繁雜的賬戶密碼更難忘記，同時(shí)也使得賬戶更不容易丟失。

雖然在填寫“安全問題”時(shí)，并不要求用戶填寫真實(shí)的信息，但往往填寫虛假答案需要更多的額外記憶量。一旦丟失賬號并且忘記所填寫的答案，則幾乎完全不可能找回賬戶信息。因此，更多的人傾向于填寫真實(shí)有關(guān)隱私的答案。

2 隱患存在的可能性

以前很多人很少思考將隱私信息交給大型網(wǎng)站所帶來的安全隱患，總要一個(gè)好的夢想：大型網(wǎng)站的安全性一定很高，所用的技術(shù)也一定很先進(jìn)；忽略了技術(shù)在不斷進(jìn)步，昨天可能安全的東西，今天就會(huì)變得漏洞百出。

首先，時(shí)代在進(jìn)步，互聯(lián)網(wǎng)技術(shù)在發(fā)展，沒有任何一家公司必定會(huì)一直在技術(shù)上遙遙領(lǐng)先。摩托羅拉、諾基亞等公司在幾年前如日中天，現(xiàn)在卻已經(jīng)幾乎消失不見，最根本的原因是在相關(guān)技術(shù)領(lǐng)域已經(jīng)不能處于領(lǐng)先水平，其地位被其他公司代替；而華為、中興、小米等手機(jī)公司卻好像突然強(qiáng)大，也是由于技術(shù)的進(jìn)步。

其次，大型網(wǎng)站已多次發(fā)生安全事故，并非大公司就一定安全。較為著名的信息泄漏事件有：美國Apple公司發(fā)生的好萊塢女星私密照片泄漏事件（2014年9月，報(bào)道廣泛，涉及用戶10個(gè)以下）、中國12306網(wǎng)站大量退票事件（2014年12月，烏云網(wǎng)發(fā)布，涉及用戶十幾萬）、網(wǎng)易賬號大量泄漏事件（2015年9月，烏云網(wǎng)白帽子測試發(fā)布，涉及用戶約5億）。當(dāng)然這樣的統(tǒng)計(jì)數(shù)據(jù)并非100%精確，也有可能是通過其他網(wǎng)站信息來進(jìn)行推斷破解的，但可在一定程度上說明這些大公司確實(shí)存在一些安全漏洞。

最后，大型網(wǎng)站系統(tǒng)安全維護(hù)者存在對手“黑客”。網(wǎng)絡(luò)上存在一些喜歡對網(wǎng)絡(luò)安全進(jìn)行分析并攻擊的人，他們稱為“黑客”，在技術(shù)方面并不輸給大型網(wǎng)絡(luò)公司的安全技術(shù)人員。

3 安全隱患的危害

個(gè)人信息的泄漏往往會(huì)帶來不同程度的危害，小到僅僅信息泄漏，達(dá)到危及金融賬戶安全，甚至危及個(gè)人性命安全，帶來的危害從小到大具體描述如下。

3.1 僅僅個(gè)人信息泄漏

這一類危害性最小，僅僅是泄漏了信息，并沒有來主動(dòng)破壞用戶安全。并沒有帶來更大的危害，但這一類是其他幾種嚴(yán)重危害的基礎(chǔ)，嚴(yán)重的危害用戶的信息是通過對大量這類消息進(jìn)行數(shù)據(jù)分析、檢索、判斷后得到的。

3.2 個(gè)人信息網(wǎng)絡(luò)曝光

這類危害主要是對明星、企業(yè)以及政府等相關(guān)人員危害較大。如各種“艷照門”類的“門”事件，會(huì)對所涉及個(gè)人造成嚴(yán)重的心理或生活的傷害；又如一些上市企業(yè)的關(guān)鍵技術(shù)人員的有些不良信息曝光，會(huì)影響公司股票投資等等。

3.3 銀行等金融賬戶被盜

主要是通過在其他網(wǎng)絡(luò)上泄漏的賬號和密碼與金融銀行類網(wǎng)站進(jìn)行配對和比較，如果金融賬戶用戶名與密碼正好相同，則可以進(jìn)入金融賬戶，將其內(nèi)部資金轉(zhuǎn)賬或者消費(fèi)。這一類危害最容易引起注意，對普通人們的危害較大，范圍也最廣。

3.4 個(gè)人生命安全受到威脅

主要是通過獲取個(gè)人信息中的住址、聯(lián)系方式，然后結(jié)合用戶在社區(qū)平臺（如人人網(wǎng)、QQ空間）上的照片，來進(jìn)行行為習(xí)慣分析，最后達(dá)到危害人身安全的目的，這類對個(gè)人的危害性最大。

4 減少安全隱患的建議

對于由“安全問題”帶來的安全隱患，可以通過一些手段減小隱患，提高自己信息的安全度，具體的方式如下。

4.1 設(shè)計(jì)一套有關(guān)自己的安全信息

在這套安全信息里面，使用完全虛假的信息填充，要包含：自己的名字和生日、學(xué)號以及工號，最好朋友姓名，自己的所有學(xué)歷，故鄉(xiāng)和工作地址，父母姓名和生日等等。如果在一些網(wǎng)絡(luò)社交賬戶（非必需正確信息等的金融賬戶）中要求“安全問題”，通過這些設(shè)定好的虛假內(nèi)容填寫。

4.2 最好不要將常用郵箱賬戶名作為金融類帳戶名

在支付寶、財(cái)付通等網(wǎng)絡(luò)金融賬戶中，通常將常用郵箱作為安全郵箱甚至登入名，這樣比較危險(xiǎn)。常用的郵箱登入次數(shù)多，甚至與可能與很多其他網(wǎng)站賬戶綁定，當(dāng)這些網(wǎng)站的出現(xiàn)安全隱患時(shí)，容易通過密碼聯(lián)想撞破金融賬戶密碼；更有甚者其密碼本來就一樣，危險(xiǎn)則更大。

4.3 在對所有人公開的社交網(wǎng)絡(luò)空間盡量少放置個(gè)人照片等信息

在對所有人公開的社交網(wǎng)絡(luò)空間放置個(gè)人照片等信息容易讓別有用心的人通過圖片附帶文字或網(wǎng)絡(luò)評論獲取個(gè)人生活習(xí)慣、家庭學(xué)校住址等信息，這些信息會(huì)給壞人造成更多可乘之機(jī)。

5 結(jié)束語

在申請網(wǎng)絡(luò)帳號時(shí)設(shè)置的“安全問題”常包含用戶的隱私信息，并且即使是大型網(wǎng)站也有可能存在安全隱患問題。如果我們在設(shè)置這些“安全問題”的時(shí)候，應(yīng)該通過一些措施來減少安全信息泄漏的可能性。文章對個(gè)人用戶提出的安全建議，能夠有效地保護(hù)個(gè)人隱私安全。